在 ADC 设备上配置用户定义的密码组
密码组是一组密码套件,您可以将其绑定到 NetScaler 设备上的 SSL 虚拟服务器、服务或服务组。密码套件包括协议、密钥交换 (Kx
) 算法、身份验证 (Au
) 算法、加密 (Enc
) 算法和消息验证码 (Mac) 算法。您的设备附带了一组预定义的密码组。当您创建 SSL 服务或 SSL 服务组时,ALL 密码组将自动绑定到该服务或 SSL 服务组。但是,当您创建 SSL 虚拟服务器或透明 SSL 服务时,DEFAULT 密码组会自动绑定到该虚拟服务器或透明 SSL 服务。此外,您可以创建用户定义的密码组并将其绑定到 SSL 虚拟服务器、服务或服务组。
注意: 如果您的 MPX 设备没有任何许可证,则只有 EXPORT 密码绑定到您的 SSL 虚拟服务器、服务或服务组。
要创建用户定义的密码组,请先创建密码组,然后将密码或密码组绑定到该组。如果您指定密码别名或密码组,则密码别名或组中的所有密码都将添加到用户定义的密码组中。您也可以将单个密码(密码套件)添加到用户定义的组中。但是,您不能修改预定义的密码组。在删除密码组之前,请解除该组中所有密码套件的绑定。
将密码组绑定到 SSL 虚拟服务器、服务或服务组,会将密码附加到绑定到实体的现有密码中。要将特定的密码组绑定到实体,必须先取消绑定到该实体的密码或密码组的绑定。然后将特定的密码组绑定到实体。例如,要仅将 AES 密码组绑定到 SSL 服务,请执行以下步骤:
-
解除创建服务时默认绑定到服务的默认密码组 ALL 的绑定。
unbind ssl service <service name> -cipherName ALL <!--NeedCopy-->
-
将 AES 密码组绑定到服务
bind ssl service <Service name> -cipherName AE <!--NeedCopy-->
如果您想绑定 AES 之外的密码组 DES,请在命令提示符处键入:
bind ssl service <service name> -cipherName DES <!--NeedCopy-->
注意: 免费的 NetScaler 虚拟设备仅支持 DH 密码组。
使用 CLI 配置用户定义的密码组
在命令提示符处,键入以下命令以添加密码组或将密码添加到先前创建的组,然后验证设置:
add ssl cipher <cipherGroupName>
bind ssl cipher <cipherGroupName> -cipherName <cipherGroup/cipherName>
show ssl cipher <cipherGroupName>
<!--NeedCopy-->
示例:
add ssl cipher test
Done
bind ssl cipher test -cipherName ECDHE
Done
sh ssl cipher test
1) Cipher Name: TLS1-ECDHE-RSA-AES256-SHA Priority : 1
Description: SSLv3 Kx=ECC-DHE Au=RSA Enc=AES(256) Mac=SHA1 HexCode=0xc014
2) Cipher Name: TLS1-ECDHE-RSA-AES128-SHA Priority : 2
Description: SSLv3 Kx=ECC-DHE Au=RSA Enc=AES(128) Mac=SHA1 HexCode=0xc013
3) Cipher Name: TLS1.2-ECDHE-RSA-AES-256-SHA384 Priority : 3
Description: TLSv1.2 Kx=ECC-DHE Au=RSA Enc=AES(256) Mac=SHA-384 HexCode=0xc028
4) Cipher Name: TLS1.2-ECDHE-RSA-AES-128-SHA256 Priority : 4
Description: TLSv1.2 Kx=ECC-DHE Au=RSA Enc=AES(128) Mac=SHA-256 HexCode=0xc027
5) Cipher Name: TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 Priority : 5
Description: TLSv1.2 Kx=ECC-DHE Au=RSA Enc=AES-GCM(256) Mac=AEAD HexCode=0xc030
6) Cipher Name: TLS1.2-ECDHE-RSA-AES128-GCM-SHA256 Priority : 6
Description: TLSv1.2 Kx=ECC-DHE Au=RSA Enc=AES-GCM(128) Mac=AEAD HexCode=0xc02f
7) Cipher Name: TLS1-ECDHE-ECDSA-AES256-SHA Priority : 7
Description: SSLv3 Kx=ECC-DHE Au=ECDSA Enc=AES(256) Mac=SHA1 HexCode=0xc00a
8) Cipher Name: TLS1-ECDHE-ECDSA-AES128-SHA Priority : 8
Description: SSLv3 Kx=ECC-DHE Au=ECDSA Enc=AES(128) Mac=SHA1 HexCode=0xc009
9) Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-SHA384 Priority : 9
Description: TLSv1.2 Kx=ECC-DHE Au=ECDSA Enc=AES(256) Mac=SHA-384 HexCode=0xc024
10) Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-SHA256 Priority : 10
Description: TLSv1.2 Kx=ECC-DHE Au=ECDSA Enc=AES(128) Mac=SHA-256 HexCode=0xc023
11) Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384 Priority : 11
Description: TLSv1.2 Kx=ECC-DHE Au=ECDSA Enc=AES-GCM(256) Mac=AEAD HexCode=0xc02c
12) Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256 Priority : 12
Description: TLSv1.2 Kx=ECC-DHE Au=ECDSA Enc=AES-GCM(128) Mac=AEAD HexCode=0xc02b
13) Cipher Name: TLS1-ECDHE-RSA-DES-CBC3-SHA Priority : 13
Description: SSLv3 Kx=ECC-DHE Au=RSA Enc=3DES(168) Mac=SHA1 HexCode=0xc012
14) Cipher Name: TLS1-ECDHE-ECDSA-DES-CBC3-SHA Priority : 14
Description: SSLv3 Kx=ECC-DHE Au=ECDSA Enc=3DES(168) Mac=SHA1 HexCode=0xc008
15) Cipher Name: TLS1-ECDHE-RSA-RC4-SHA Priority : 15
Description: SSLv3 Kx=ECC-DHE Au=RSA Enc=RC4(128) Mac=SHA1 HexCode=0xc011
16) Cipher Name: TLS1-ECDHE-ECDSA-RC4-SHA Priority : 16
Description: SSLv3 Kx=ECC-DHE Au=ECDSA Enc=RC4(128) Mac=SHA1 HexCode=0xc007
17) Cipher Name: TLS1.2-ECDHE-RSA-CHACHA20-POLY1305 Priority : 17
Description: TLSv1.2 Kx=ECC-DHE Au=RSA Enc=CHACHA20/POLY1305(256) Mac=AEAD HexCode=0xcca8
18) Cipher Name: TLS1.2-ECDHE-ECDSA-CHACHA20-POLY1305 Priority : 18
Description: TLSv1.2 Kx=ECC-DHE Au=ECDSA Enc=CHACHA20/POLY1305(256) Mac=AEAD HexCode=0xcca9
Done
bind ssl cipher test -cipherName TLS1-ECDHE-RSA-DES-CBC3-SHA
<!--NeedCopy-->
使用 CLI 解除密码与密码组的绑定
在命令提示符处,键入以下命令以解除密码与用户定义的密码组的绑定,然后验证设置:
show ssl cipher <cipherGroupName>
unbind ssl cipher <cipherGroupName> -cipherName <string>
show ssl cipher <cipherGroupName>
<!--NeedCopy-->
使用 CLI 删除密码组
注意: 您无法删除内置密码组。在删除用户定义的密码组之前,请确保密码组为空。
在命令提示符处,键入以下命令以删除用户定义的密码组,然后验证配置:
rm ssl cipher <userDefCipherGroupName> [<cipherName> ...]
show ssl cipher <cipherGroupName>
<!--NeedCopy-->
示例:
rm ssl cipher test Done
sh ssl cipher test ERROR: No such resource [cipherGroupName, test]
<!--NeedCopy-->
使用 GUI 配置用户定义的密码组
- 导航到“流量管理”>“SSL”>“密码组”。
- 单击添加。
- 指定密码组的名称。
- 单击“添加”查看可用的密码和密码组。
- 选择密码或密码组,然后单击箭头按钮添加它们。
- 单击创建。
- 单击关闭。
要使用 CLI 将密码组绑定到 SSL 虚拟服务器、服务或服务组,请执行以下操作:
在命令提示符处,键入以下内容之一:
bind ssl vserver <vServerName> -cipherName <string>
bind ssl service <serviceName> -cipherName <string>
bind ssl serviceGroup <serviceGroupName> -cipherName <string>
<!--NeedCopy-->
示例:
bind ssl vserver ssl_vserver_test -cipherName test
Done
bind ssl service nshttps -cipherName test
Done
bind ssl servicegroup ssl_svc -cipherName test
Done
<!--NeedCopy-->
要使用 GUI 将密码组绑定到 SSL 虚拟服务器、服务或服务组,请执行以下操作:
-
导航到流量管理 > 负载平衡 > 虚拟服务器。
要提供服务,请将虚拟服务器替换为服务。对于服务组,将虚拟服务器替换为服务组。
打开虚拟服务器、服务或服务组。
-
在 高级设置中,选择 SSL 密码。
-
将密码组绑定到虚拟服务器、服务或服务组。
将单个密码绑定到 SSL 虚拟服务器或服务
您也可以将单个密码而不是密码组绑定到虚拟服务器或服务。
要使用 CLI 绑定密码: 在命令提示符处,键入:
bind ssl vserver <vServerName> -cipherName <string>
bind ssl service <serviceName> -cipherName <string>
<!--NeedCopy-->
示例:
bind ssl vserver v1 -cipherName TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
Done
bind ssl service sslsvc -cipherName TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
Done
<!--NeedCopy-->
要使用 GUI 将密码绑定到 SSL 虚拟服务器,请执行以下操作:
- 导航到流量管理 > 负载平衡 > 虚拟服务器。
- 选择 SSL 虚拟服务器,然后单击“编辑”。
- 在 高级设置中,选择 SSL 密码。
- 在Cipher Suites中,选择添加。
- 在可用列表中搜索密码,然后单击箭头将其添加到配置列表中。
- 单击确定。
- 单击 Done(完成)。
要将密码绑定到 SSL 服务,请在用服务替换虚拟服务器后重复上述步骤。